Dans la foulée de notre article précédent, qui traitait essentiellement des bases juridiques et des sanctions du RGPD, nous avons voulu ici aborder le sujet du côté des…sujets, justement.
Quels sont les droits, les obligations et les recours des individus face aux organisations qui vont utiliser leurs données personnelles ? On vous laisse découvrir tout cela ci-dessous.
Les obligations des organisations.
Le RGPD renforce le droit des individus à contrôler pleinement leurs données personnelles. Ces droits modifieront le fonctionnement quotidien des données et exigent également une configuration organisationnelle appropriée et, dans la plupart des cas, des changements organisationnels.
En conséquence, on peut identifier une dizaine de cas d’utilisation de base qui définissent les obligations d’une organisation à l’égard des personnes concernées.
Fournir des informations lors de la collecte de données personnelles.
Le responsable du traitement doit fournir aux personnes concernées les informations relatives au traitement des données sous une forme concise, transparente, intelligible et facilement accessible, en utilisant un langage clair et simple, en particulier pour toute information s’adressant spécifiquement à un enfant. Il n’est pas permis de fournir des informations sous la forme d’une politique de confidentialité excessivement longue ou difficile à comprendre.
La portée des informations à fournir est décrite aux articles 13 et 14 du RGPD, mais le contrôleur peut être tenu de fournir des informations supplémentaires si une situation particulière l’exige.
Fournir l’accès aux données personnelles sur demande.
Conformément à l’article 15 de la réglementation, les individus ont le droit d’accès à leurs données à caractère personnel. Cela signifie que le responsable du traitement doit fournir une copie des données à caractère personnel faisant l’objet du traitement, qui doit être fournie gratuitement. Toutefois, il peut facturer des frais administratifs raisonnables en cas de demandes répétitives, de demandes manifestement infondées ou excessives ou lorsque des copies supplémentaires sont demandées. Ce droit est fondé sur l’argument selon lequel les personnes sont au courant de la licéité du traitement et peuvent en vérifier la licéité.
Gérer le consentement à des fins de traitement si aucune autre base juridique ne s’applique.
Le traitement des données à caractère personnel n’est licite que si et dans la mesure où il est autorisé par le droit communautaire en matière de protection des données et que toutes les activités de traitement des données exigent une base licite, qui peut prendre la forme d’un consentement individuel. Si le traitement de données à caractère personnel est fondé sur le consentement de la personne concernée, le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement au traitement. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne devrait pas affecter la licéité du traitement fondé sur le consentement avant son retrait. Avant de donner son consentement, la personne concernée doit en être informée et il doit être aussi facile de se retirer que de donner son consentement.
Gérer la rectification des données personnelles sur demande.
La personne concernée a le droit d’exiger du responsable du traitement la rectification de données à caractère personnel inexactes la concernant. Dans des cas spécifiques, en fonction des finalités du traitement, les personnes peuvent demander que les données à caractère personnel soient incomplètes ou qu’une déclaration supplémentaire soit ajoutée.
Gérer l’opposition ou la limitation du traitement des données personnelles sur demande.
Bien que la personne concernée ne dispose pas d’un droit général d’opposition au traitement, il existe plusieurs situations dans lesquelles il existe un droit d’opposition spécifique, par exemple lorsque le traitement est effectué pour des finalités spécifiques ou lorsque le droit d’opposition est justifié sur une base particulière. Il s’agit notamment des cas où le traitement est destiné à des fins de marketing direct, des cas où le traitement est destiné à des fins scientifiques ou historiques, mais qui requiert des motifs liés à la situation particulière de la personne concernée, à moins que le traitement ne soit nécessaire à l’exécution d’une mission effectuée pour des raisons d’intérêt public ; et lorsque le traitement est fondé soit sur des motifs d’intérêt légitime (par exemple, dans le cas d’intérêts ou de droits et libertés fondamentaux de la personne concernée qui requièrent la protection des données à caractère personnel, en particulier lorsque la personne concernée est un enfant), soit il est nécessaire à l’exécution d’une mission effectuée dans l’intérêt public ou dans l’exercice de l’autorité publique dont est investi le responsable du traitement.
Le responsable du traitement doit alors cesser le traitement des données à caractère personnel à moins qu’une exemption ne s’applique, c’est-à-dire que le responsable du traitement peut démontrer qu’il existe des raisons impérieuses et légitimes qui priment sur les intérêts de la personne concernée, ou lorsque le traitement est destiné à l’établissement, à l’exercice ou à la défense d’actions en justice.
Gérer l’effacement des données personnelles sur demande (droit à l’oubli).
Le droit d’effacement ou le droit d’être oublié permet à une personne de demander l’effacement ou la suppression de données à caractère personnel lorsqu’il n’existe aucune raison impérieuse de poursuivre le traitement de ces données. Là encore, ce droit ne constitue pas une revendication générale, mais vise des circonstances spécifiques, qui sont définies à l’article 17 du RGPD :
- La personne retire son consentement.
- Les données à caractère personnel ne sont plus nécessaires au regard de la finalité pour laquelle elles ont été initialement collectées/traitées
- L’individu s’oppose au traitement et il n’y a pas d’intérêt légitime supérieur pour la poursuite du traitement.
- Les données personnelles ont été traitées illégalement.
- Les données personnelles doivent être effacées afin de se conformer à une obligation légale.
- Les données personnelles sont traitées dans le cadre de l’offre de services de la société de l’information à un enfant.
Informer les tiers de la rectification, de la restriction ou de l’effacement.
Pour traiter de l’importance des droits de la personne concernée, par exemple, dans un environnement en ligne, le responsable du traitement est tenu d’informer les autres responsables du traitement des données que la personne concernée a demandé l’effacement de ces données, lorsque le responsable du traitement a rendu publiques les données à caractère personnel et lorsqu’il est tenu d’effacer les données. Le responsable du traitement doit prendre des mesures raisonnables et tenir compte de la technologie disponible et du coût de la mise en œuvre. Il doit notifier à toute personne à qui il a communiqué ces données, si le responsable du traitement doit effacer des données à caractère personnel, à moins que cela ne soit impossible ou n’implique un effort disproportionné.
Rendre les données personnelles sur demande et permettre le transfert à d’autres contrôleurs de données (portabilité des données).
Lorsque le traitement est fondé sur le consentement ou est effectué par des moyens automatisés, les personnes physiques ont le droit de recevoir les données à caractère personnel les concernant, qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans entrave de la part du responsable du traitement auquel les données à caractère personnel ont été fournies initialement. Ce droit à la transférabilité des données vise à permettre à la personne concernée d’obtenir et de réutiliser ses données personnelles pour ses propres besoins dans différents services.
Ne pas fonder les décisions concernant les personnes concernées uniquement sur des moyens automatisés.
Une personne a le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé, y compris le profilage, si les décisions produisent des effets juridiques ou affectent de manière significative la personne concernée. Le RGPD donne l’exemple d’une demande de crédit en ligne ou de pratiques de recrutement électronique sans intervention humaine. Le règlement précise également que ce traitement comprend le “profilage” qui consiste en toute forme de traitement automatisé de données à caractère personnel évaluant les aspects de la personnalité d’une personne physique, notamment pour analyser ou prévoir des aspects concernant les performances de la personne concernée au travail, sa situation économique, sa santé, ses préférences ou intérêts personnels, sa fiabilité ou son comportement, son lieu ou ses déplacements, lorsqu’il produit des effets juridiques la concernant ou l’affectant de manière similaire de manière significative. Des exceptions à cette règle sont toutefois possibles lorsque la décision est nécessaire pour conclure ou exécuter un contrat entre la personne concernée et le responsable du traitement ; le traitement automatisé significatif est autorisé par le droit de l’Union ou de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour sauvegarder les droits et libertés et les intérêts légitimes de la personne concernée ; ou est fondé sur le consentement explicite de la personne concernée.
Communiquer les atteintes à la protection des données personnelles (des conditions particulières s’appliquent).
Les responsables du traitement des données doivent communiquer sans retard injustifié une violation des données à caractère personnel à la personne concernée si la violation est susceptible d’entraîner un risque élevé pour les droits et libertés de la personne physique. La notification doit être rédigée dans un langage clair et simple et expliquer la nature de la violation des données à caractère personnel et contenir au moins un minimum d’informations telles que le nom et les coordonnées du délégué à la protection des données ou d’autres points de contact où l’on peut obtenir davantage d’informations ; décrire les conséquences probables de la violation des données à caractère personnel ; et expliquer les mesures prises ou envisagées par le responsable du traitement pour remédier à la violation des données à caractère personnel, y compris, le cas échéant, les mesures visant à en atténuer les effets négatifs éventuels.
RGPD: Contrainte ou opportunités pour les organisations ?
Une fois définies les obligations et les défis liés au RGPD en ce qui concerne les droits des personnes concernées, il faut peut-être également réfléchir à la manière d’y faire face. Les principales propositions émanent des RegTech qui fleurissent un peu partout actuellement et dont les solutions de gestion de données nouvelle génération permettent l’automatisation et la rationalisation pour la gestion des métadonnées, leur intégration et leur analyse.
Cette nouvelle approche, que l’on nomme parfois “Compliance as a Service” (Caas) est loin d’être anecdotique pour les organisations et la valeur ajoutée est à la fois en termes de conformité et en termes financiers: du point de vue de la conformité, elle fournit la preuve de la conformité au RGPD et crée un avantage concurrentiel grâce à une fiabilité et une réputation accrues. Elle renforce la confiance et la transparence pour la personne concernée. La valeur financière se traduit par un traitement plus rapide, moins coûteux et plus fiable des communications de soupçons, des amendes administratives moins élevées en cas de non-conformité, des coûts de traitement des données moins élevés, l’absence d’informations redondantes et un chiffre d’affaires plus élevé sur la base de l’avantage concurrentiel dans les entreprises sensibles aux données personnelles.
Ça, c’est la théorie. Attendons quelques mois et les premières confrontations entre le RGPD et la réalité des entreprises pour un constat pratique.